共有メッシュの使用 - AWS App Mesh

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

共有メッシュの使用

重要

サポート終了通知: 2026 年 9 月 30 日、 は のサポートを中止 AWS します AWS App Mesh。2026 年 9 月 30 日以降、 AWS App Mesh コンソールまたは AWS App Mesh リソースにアクセスできなくなります。詳細については、このブログ記事の「 から Amazon ECS Service Connect AWS App Mesh への移行」を参照してください。

AWS Resource Access Manager サービスを使用して、 AWS アカウント間で App Mesh メッシュを共有できます。共有メッシュを使用すると、異なる AWS アカウントによって作成されたリソースが同じメッシュ内で相互に通信できます。

AWS アカウントは、メッシュリソース所有者、メッシュコンシューマー、またはその両方です。コンシューマーは、アカウントと共有されるメッシュにリソースを作成できます。オーナーは、アカウントが所有する任意のメッシュにリソースを作成できます。メッシュ所有者は、次のタイプのメッシュコンシューマーとメッシュを共有できます。

  • の組織内外の特定の AWS アカウント AWS Organizations

  • 内の組織内の組織単位 AWS Organizations

  • の組織全体 AWS Organizations

メッシュの共有方法の詳細については end-to-end、「」の「クロスアカウントメッシュ」の「」を参照してください GitHub。

メッシュを共有するアクセス許可の付与

アカウント間でメッシュを共有する場合、メッシュを共有するIAMプリンシパルに必要なアクセス許可と、メッシュ自体に必要なリソースレベルのアクセス許可があります。

メッシュを共有するアクセス許可の付与

IAM プリンシパルがメッシュを共有するには、最小限のアクセス許可のセットが必要です。AWSAppMeshFullAccess および AWSResourceAccessManagerFullAccessマネージドIAMポリシーを使用して、IAMプリンシパルが共有メッシュを共有して使用するために必要なアクセス許可を持っていることを確認することをお勧めします。

カスタムIAMポリシーを使用する場合は、appmesh:PutMeshPolicyappmesh:GetMeshPolicy、および appmesh:DeleteMeshPolicyアクションが必要です。これらはアクセス許可のみのIAMアクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、 AWS RAM サービスを使用してメッシュを共有しようとするとエラーが発生します。

AWS Resource Access Manager サービスが を使用する方法の詳細についてはIAM、「 ユーザーガイド」の「 AWS RAM の使用方法IAM」を参照してください。 AWS Resource Access Manager

メッシュに対するアクセス許可の付与

共有メッシュには、次のアクセス許可があります。

  • コンシューマーは、アカウントと共有されているメッシュ内のすべてのリソースを一覧表示して記述できます。

  • オーナーは、アカウントが所有するメッシュ内のすべてのリソースを一覧表示して説明できます。

  • 所有者とコンシューマーは、アカウントが作成したメッシュのリソースを変更できますが、他のアカウントが作成したリソースを変更することはできません。

  • コンシューマーは、アカウントが作成したメッシュ内の任意のリソースを削除できます。

  • 所有者は、任意のアカウントが作成したメッシュ内の任意のリソースを削除できます。

  • 所有者のリソースは、同じアカウント内の他のリソースのみをリファレンスできます。例えば、仮想ノードは、 AWS Certificate Manager 仮想ノードの所有者と同じアカウントにある証明書 AWS Cloud Map または証明書のみを参照できます。

  • 所有者とコンシューマーは、アカウントが所有する仮想ノードとして Envoy プロキシを App Mesh に接続できます。

  • 所有者は、仮想ゲートウェイと仮想ゲートウェイルートを作成できます。

  • 所有者とコンシューマーは、アカウントが作成したメッシュ内のタグを一覧表示したり、リソースにタグ付け/タグ付け解除したりできます。アカウントが作成したものではないメッシュ内のタグを一覧表示したり、リソースにタグ付け/タグ付け解除したりすることはできません。

共有メッシュはポリシーベースの認証を使用します。メッシュは、固定アクセス許可セットで と共有されます。これらのアクセス許可は、リソースポリシーに追加するように選択され、IAMユーザー/ロールに基づいてオプションのIAMポリシーを選択することもできます。これらのポリシーで許可されている権限の共通部分から、明示的に拒否された権限を除いたものが、プリンシパルのメッシュへのアクセス権になります。

メッシュを共有すると、 AWS Resource Access Manager サービスは という名前のマネージドポリシーを作成しAWSRAMDefaultPermissionAppMesh、次のアクセス許可を提供する App Mesh に関連付けます。

  • appmesh:CreateVirtualNode

  • appmesh:CreateVirtualRouter

  • appmesh:CreateRoute

  • appmesh:CreateVirtualService

  • appmesh:UpdateVirtualNode

  • appmesh:UpdateVirtualRouter

  • appmesh:UpdateRoute

  • appmesh:UpdateVirtualService

  • appmesh:ListVirtualNodes

  • appmesh:ListVirtualRouters

  • appmesh:ListRoutes

  • appmesh:ListVirtualServices

  • appmesh:DescribeMesh

  • appmesh:DescribeVirtualNode

  • appmesh:DescribeVirtualRouter

  • appmesh:DescribeRoute

  • appmesh:DescribeVirtualService

  • appmesh:DeleteVirtualNode

  • appmesh:DeleteVirtualRouter

  • appmesh:DeleteRoute

  • appmesh:DeleteVirtualService

  • appmesh:TagResource

  • appmesh:UntagResource

メッシュを共有するための前提条件

メッシュを共有するには、以下の前提条件を満たす必要があります。

  • AWS アカウントでメッシュを所有する必要があります。すでに共有されているメッシュを共有することはできません。

  • 組織または AWS Organizationsの組織単位とメッシュを共有するには、 AWS Organizationsとの共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizationsで共有を有効化する」を参照してください。

  • サービスは、相互に通信するメッシュリソースを含むアカウント間で接続VPCを共有している Amazon にデプロイする必要があります。ネットワーク接続を共有する 1 つの方法は、メッシュで使用するすべてのサービスを共有サブネットにデプロイすることです。詳細および制限事項については、「サブネットの共有」を参照してください。

  • サービスは、 DNSまたは を通じて検出できる必要があります AWS Cloud Map。サービスディスカバリの詳細については、「仮想ノード」を参照してください。

メッシュ共有は AWS Resource Access Manager (AWS RAM) と統合されます。 AWS RAM は、 AWS アカウントまたは を通じて AWS リソースを共有できるサービスです AWS Organizations。では AWS RAM、リソース共有 を作成して、所有しているリソースを共有します。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーは、個々の AWS アカウント、組織単位、または の組織全体にすることができます AWS Organizations。

の詳細については AWS RAM、AWS RAM 「 ユーザーガイド」を参照してください。

メッシュを共有する

メッシュを共有すると、異なるアカウントで作成されたメッシュリソースが同じメッシュ内で相互に通信できるようになります。所有するメッシュのみを共有できます。メッシュを共有するには、メッシュをリソース共有に追加する必要があります。リソース共有は、 AWS アカウント間で AWS RAM リソースを共有できるリソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。Amazon Linux コンソールを使用してメッシュを共有する場合は、既存のリソース共有にそれを追加します。メッシュを新しいリソース共有に追加するには、最初に AWS RAM コンソールを使用してリソース共有を作成する必要があります。

組織の一部であり AWS Organizations 、組織内で共有が有効になっている場合、組織内のコンシューマーに共有メッシュへのアクセスを自動的に許可できます。それ以外の場合、コンシューマーはリソース共有に参加するための招待を受け取り、招待を受け入れた後に共有メッシュへのアクセスを許可されます。

AWS RAM コンソールまたは を使用して、所有しているメッシュを共有できます AWS CLI。

AWS RAM コンソールを使用して所有しているメッシュを共有するには

手順については、「AWS RAM ユーザーガイド」の「リソース共有の作成」を参照してください。リソースタイプを選択するときは、[メッシュ] を選択してから、共有するメッシュを選択します。メッシュがリストされていない場合は、最初にメッシュを作成する必要があります。詳細については、「サービスメッシュの作成」を参照してください。

を使用して所有しているメッシュを共有するには AWS CLI

create-resource-share コマンドを使用します。--resource-arns オプションで、共有するメッシュARNの を指定します。

メッシュの共有解除

メッシュの共有を解除すると、App Mesh はメッシュの以前のコンシューマーによるメッシュへのそれ以降のアクセスを無効にします。ただし、App Mesh はコンシューマーが作成したリソースを削除しません。メッシュの共有が解除されると、メッシュの所有者のみがリソースにアクセスして削除できます。App Mesh は、メッシュ内のリソースを所有していたアカウントが、メッシュの共有解除後に設定情報を受信しないようにします。また、App Mesh は、メッシュ内にリソースを持つアカウントが、メッシュの共有解除後に設定情報を受信しないようにします。メッシュの所有者のみが共有を解除できます。

所有している共有メッシュの共有を解除するには、リソース共有からメッシュを削除する必要があります。これは、 AWS RAM コンソールまたは を使用して行うことができます AWS CLI。

AWS RAM コンソールを使用して所有している共有メッシュの共有を解除するには

手順については、「AWS RAM ユーザーガイド」の「リソース共有の更新」を参照してください。

を使用して所有している共有メッシュの共有を解除するには AWS CLI

disassociate-resource-share コマンドを使用します。

共有メッシュの特定

所有者とコンシューマーは、Amazon Linux コンソールと を使用して共有メッシュとメッシュリソースを識別できます。 AWS CLI

Amazon Linux コンソールを使用して共有メッシュを識別するには
  1. で App Mesh コンソールを開きますhttps://console.aws.amazon.com/appmesh/

  2. 左のナビゲーションペインで [メッシュ] を選択します。各メッシュのメッシュ所有者のアカウント ID は、[メッシュ所有者]列に一覧表示されます。

  3. 左側のナビゲーションから、[仮想サービス]、[仮想ルーター]、または[仮想ノード]を選択します。各リソースのメッシュ所有者リソース所有者のアカウント ID が表示されます。

を使用して共有メッシュを識別するには AWS CLI

aws appmesh list-meshes などの aws appmesh list resource コマンドを使用します。このコマンドは、所有しているメッシュと共有されているメッシュを返します。meshOwner プロパティは AWS のアカウント ID meshOwnerを示し、 resourceOwner プロパティはリソース所有者の AWS アカウント ID を示します。メッシュリソースに対してコマンドを実行すると、これらのプロパティが返されます。

共有メッシュにアタッチしたユーザー定義のタグは、ユーザー自身の AWS アカウントでのみ利用可能です。メッシュを共有している他のアカウントでは使用できません。別のアカウントでメッシュの aws appmesh list-tags-for-resource コマンドを実行しても、アクセスは拒否されます。

請求と使用量測定

メッシュの共有は無料です。

インスタンスクォータ

メッシュにリソースを作成したユーザーに関係なく、メッシュのすべてのクォータは共有メッシュにも適用されます。メッシュの所有者のみがクォータの増加を要求できます。詳細については、「App Mesh Service Quotas」を参照してください。 AWS Resource Access Manager サービスにもクォータがあります。詳細については、「Service Quotas」を参照してください。